重要说明:此解决方案需要使用 AWS CodeCommit,该服务不再面向新客户提供。AWS CodeCommit 的现有客户可以继续照常使用和部署此 AWS 解决方案。
概览
AWS 上的集中网络检查配置筛选网络流量所需的 AWS 资源。该解决方案将调配集中式 AWS Network Firewall 以检测您的 Amazon Virtual Private Clouds(Amazon VPC)之间流量的过程自动化,因而可为您节省时间。
优势
借助此解决方案,您可以在 AWS CodeCommit 存储库的配置包中对规则组和防火墙策略进行修改。这将自动调用 AWS CodePipeline 以运行验证和部署。
利用此解决方案,您可以在一个地方对数百或数千个 Amazon VPC 和账户进行检查。您还可以对 AWS Network Firewall、防火墙策略和规则组进行集中配置和管理。
该解决方案可帮助您利用 GitOps 工作流程来协作并管理针对 AWS Network Firewall 配置所做的更改。
技术详情
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
第 1 步
AWS CloudFormation 模板部署了检查 VPC,总共包含四个子网。其中两个子网用于创建 VPC 中转网关连接,另外两个子网用于创建 AWS Network Firewall 端点。
第 2 步
CloudFormation 模板将创建一个新的 AWS CodeCommit 存储库和网络防火墙配置,该配置默认情况下允许所有网络流量通过。该模板还包含一组示例,以帮助您创建新的规则组。
第 3 步
在 CodeCommit 存储库中对配置包进行修改将调用 AWS CodePipeline 来运行验证和部署阶段。
第 4 步
该解决方案将使用默认路由目标来为各个可用区创建 Amazon VPC 路由表。还将创建一个带有防火墙子网且默认路由目标为传输网关 ID 的共享路由表。
第 5 步
该解决方案还将创建两个 AWS Key Management Service(AWS KMS)加密密钥。其中一个密钥将用于对 Amazon Simple Storage Service(Amazon S3)构件、源代码存储桶和 AWS CodeBuild 项目中的对象进行加密。第二个密钥将用于对 Network Firewall 日志目标进行加密。
第 6 步
创建 AWS Identity and Access Management(IAM)角色,以向 CodePipeline 和 CodeBuild 阶段授予权限,从而访问 S3 存储桶并管理 Network Firewall 资源。